Gehackte wachtwoordsite worstelt met reset

LastPass heeft gebruikers gesommeerd dat ze nieuwe hoofdwachtwoorden moeten aanmaken. Dat moest vanaf zaterdagavond pas kunnen, vanwege databaseperikelen op vrijdag. Donderdag biechtte het bedrijf achter de populaire wachtwoordmanager op dat het "onverklaarbaar uitgaand verkeer" had ontdekt op zijn netwerk.

Wachtwoordenschatkist

De vrees is dat een lek is waarlangs gebruikersnamen en wachtwoorden zijn gestolen. In combinatie met het hoofdwachtwoord van een LastPass-gebruiker kunnen kwaadwillenden toegang krijgen tot alle andere wachtwoorden van die gebruiker, die hij of zij laat 'onthouden' door de wachtwoordmanager. Een hoofdwachtwoord valt mogelijk te raden via een brute force-aanval waarbij vele mogelijke wachtwoordcombinaties worden uitgeprobeerd.

Uit voorzorg heeft LastPass bepaald dat alle gebruikers hun hoofdwachtwoord zo snel mogelijk moesten wijzigen. De site is vrijdagavond op dat advies teruggekomen nadat het eerder die dag was getroffen door databaseproblemen. Dat raakte ongeveer 5 procent van de gebruikers die hun hoofdwachtwoord hadden gewijzigd. LastPass belooft getroffen gebruikers dat hun accounts altijd nog vanuit backups zijn te herstellen.

Oude servers uit

Het bedrijf heeft zijn database helemaal opnieuw opgebouwd op nieuwe servers en de oude, mogelijk gekraakte machines uitgezet. Sinds zaterdagavond zou het proces van wachtwoordwijziging weer goed werken, meldt LastPass in een blogpost. "Er is geen reden tot paniek. Alle accounts zijn in een vergrendelde modus gegaan. Daarbij was alleen in te loggen vanaf locaties waar vandaan eerder is ingelogd of via een bevestiging per e-mail."

LastPass heeft ook aanvullende beveiligingsmaatregelen doorgevoerd op zijn servers én in de client voor zijn systeem. Het gaat om krachtigere encryptie via PBKDF2 met SHA-256 hash algoritme dat een 256-bit salt gebruikt.